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芯片 设计 的 模拟 验证 技术 分 析 和 探讨 


昌 涛 李 华 伟 李 晓 维 


摘要 : 本 文通 过 分 析 模 拟 验 证 技术 随 着 设计 规模 发 展 而 遇 到 的 困境 及 其 原因 ， 认 为 基于 错误 模型 的 设计 验 
证 是 有 望 取得 突破 性 进展 的 技术 方向 。 本 文 进而 从 三 方面 综合 介绍 了 基于 错误 模型 的 设计 验证 技术 的 研究 
现状 ， 以 及 我 们 在 这 方面 开展 的 部 分 工作 。 本 文 首先 阐述 了 设计 错误 模型 的 研究 现状 ， 重 点 介绍 了 差异 测 
试 的 思想 以 及 缺 项 错误 模型 及 其 测试 方法 ; 其 次 介绍 了 错误 注入 系统 ErrorInjector, 该 系统 能 够 支持 种 类 
富 的 设计 错误 模型 ,而且 具有 良好 的 可 扩展 接口 ， 是 一 个 对 于 设计 错误 模型 研究 非常 有 益 的 基础 平台 ; 最 
后 介绍 了 基于 错误 屏蔽 概率 的 静态 可 观测 性 量化 分 析 方 法 ， 以 及 在 此 基础 上 的 根据 低 观 测 根源 选择 内 部 观 
测 点 的 方法 ， 为 从 设计 错误 所 引发 的 效果 角度 研究 可 验证 性 设计 技术 提供 了 一 个 实例 。 


tT 


关键 词 : 芯片 设计 、 模 拟 验 证 、 错 误 模 型 、 错 误 注 入 、 可 验证 性 


随 着 集成 电路 工艺 的 不 断 发 展 ， 蕊 片 设计 的 规模 越 来 越 大 ， 复杂 程度 越 来 越 高 ， 对 设计 
的 功能 正确 性 以 及 性 能 、 功 耗 、 可 靠 性 等 都 提出 了 更 高 的 要 求 。 其中， 功能 正确 性 是 芯片 设 
计 最 基本 的 要 求 ， 需 要 通过 设计 验证 (design verification) 技术 解决 ， 这 就 使 设计 验证 技术 
成 为 蕊 片 设计 的 重要 支撑 技术 。 


在 集成 电路 发 展 的 早期 阶段 , 设计 验证 工作 通常 是 通过 一 些 定制 的 甚至 是 手工 的 方式 来 
完成 ， 例 如 ， 通 过 设计 人 员 手 写 测试 用 例 (test case)， 或 者 通过 运行 典型 应 用 程序 ， 来 检验 
芯片 设计 的 正确 性 。 随 着 设计 规模 的 持续 膨胀 ,设计 验证 方面 的 研究 得 到 了 学 术 界 越 来 越 多 
的 关注 ， 尤 其 是 近 10 年 以 来 ， 已 经 成 为 学 术 界 关注 的 一 个 热点 。 这 主要 是 由 于 已 有 设计 验 
证 技术 的 处 理 能 力 已 经 无 法 满足 设计 规模 发 展 的 需要 。 根 据 美国 Collett 市 场 调研 公司 的 报 
告 : 2002 年 ， 功 能 错误 已 经 成 为 芯片 重 流 片 的 首要 原因 ， 而 这 一 因素 的 比重 在 2004 年 继续 
呈现 增长 的 趋势 。 


影响 设计 验证 技术 处 理 能 力 最 直接 的 因素 是 芯片 设计 的 功能 复杂 度 。 然 而 这 一 因素 很 难 
通过 某 种 指标 来 量化 度量 。 和 常用 的 度量 设计 规模 的 品 体 管 数目 、 逻 辑 门 数 目 等 等 ， 都 无 法 
面 地 反映 芯片 设计 的 功能 复杂 度 。2004 年 度 国 际 半 导体 技术 发 展 报告 (ITRS) 指出 :“ 设 计 
规模 随 着 摩尔 定律 成 指数 级 增长 .如 果 采 用 系统 中 需要 验证 的 不 同 状态 的 数目 来 衡量 其 功能 
复杂 度 ， 那么 在 最 坏 情况 下 ,功能 复杂 度 随 设计 的 规模 也 成 指数 级 增长 。 这 导致 了 一 个 双 指 
数 级 的 爆炸 站 ”。 可 见 ， 设 计 验 证 所 面临 的 问题 规模 的 增长 趋势 比 设计 规模 的 增长 要 快 得 多 。 
除了 对 设计 的 状态 进行 检验 , 设计 验证 技术 常常 还 需要 在 状态 序列 上 进行 推理 , 这 种 情况 下 
的 问题 规模 膨胀 得 更 快 。 根据 ITRS2008 的 预测 ，2019 年 营 片 上 集成 的 品 体 管 数量 将 达到 数 
十 亿 数 量 级 。 设 计 规模 的 提高 将 使 得 设计 验证 技术 面临 极 大 的 挑战 。 因 此 ，ITRS2008 指出 ， 
如 果 验 证 技术 没有 重大 突破 ， 将 使 得 半导体 工业 的 后 续 发 展 呈 现 止步 趋势 ”。 


现 有 的 设计 验证 技术 ， 从 方法 角度 来 看 ， 通 常 可 以 划分 为 模拟 验证 (simulation-based 
verification ) 和 形式 验证 〈formal verification ) 两 个 大 类 。 通 俗 的 讲 ， 模 拟 验证 是 通过 施加 
输入 向 量 进 而 分 析 芯 片 设 计 在 模拟 器 (simulator) 上 的 行为 来 发 现 设 计 错 误 ， 而 形式 验证 是 
利用 数学 方法 来 严格 地 证 明 一 个 芯片 设计 满足 所 给 定 的 需求 〈 即 规范 )。 二 者 结合 之 后 又 产 
生 了 半 形 式 化 验证 技术 。 


”本 文 的 部 分 内 容 曾 出 现 于 参考 文献 [29] 和 [30] 之 中 。 
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在 这 两 大 类 技术 中 ,模拟 验证 是 工业 界 一直 采 用 的 、 也 是 占 主体 地 位 的 验证 技术 。 形 式 
验证 能 够 隐 式 地 穷 举 整个 电路 的 输入 变量 空间 , 证 明 电 路 设计 的 功能 正确 性 。 虽然 其 重要 性 
益 上 升 , 但 是 由 于 形式 验证 技术 对 于 设计 规模 更 加 敏感 ， 目 前 尚未 成 为 工业 界 设 计 验 证 的 
主要 方法 。 本 文 将 分 析 模 拟 验 证 技术 目前 所 面临 的 挑战 , 进而 介绍 基于 错误 模型 的 设计 验证 
技术 。 这 是 一 个 有 望 取 得 突破 性 进展 的 技术 方向 。 


1 ”模拟 验证 所 面临 的 挑战 


在 这 一 节 中 ,我 们 首先 简要 介绍 模拟 验证 技术 ,然后 分 析 其 所 面临 的 挑战 ， 
基于 错误 模型 的 设计 验证 技术 的 意义 。 


1.1 模拟 验证 简介 


模拟 验证 之 所 以 成 为 业界 常用 的 、 也 是 最 主要 的 验证 技术 , 主要 是 由 于 其 具有 强大 的 可 
扩展 性 。 一 般 来 讲 ,任何 规模 的 设计 总 是 可 以 通过 模拟 的 方法 来 检验 的 。 开 发 模拟 验证 环境 
(testbench ) 所 用 的 语言 经 历 了 几 番 更 新 换代 -- 从 直接 采用 硬件 描述 语言 〈hardware 
description ljanguage，HDL)， 到 采用 面向 对 象 的 语言 《例如 C++)， 再 到 专门 的 验证 语言 〈 例 
如 SystemVerilog 语言 和 @ 语言 )。 专门 的 验证 语言 提高 了 设计 验证 的 效率 ,使 得 验证 工程 师 
可 以 方便 快捷 地 开发 出 功能 强大 的 验证 环境 。 模 拟 验 证 中 的 典型 验证 环境 如 图 1 虚线 中 的 部 
分 所 示 。 图 中 虚线 内 是 验证 环境 的 组 成 模块 , 虚线 外 部 的 结 点 表示 与 模拟 验证 过 程 有 关 的 文 
档 ， 图 中 连 线 表 示 信 息 或 数据 的 流向 关系 。 


让 六 述 研究 


图 1。 典 型 的 模拟 验证 环境 


在 模拟 验证 过 程 中 , 验证 工程 师 首 先 需 要 理解 功能 规范 并 制定 出 相应 的 验证 计划 , 然后 
依照 验证 计划 开发 测试 用 例 。 除 了 定制 一 些 测试 用 例 之 外 , 经 常 采用 的 技术 还 有 基于 约束 的 
随机 激励 生成 《constraint-based random vector generation)。 为 了 提高 验证 环境 的 开发 效率 和 
验证 环境 中 模块 的 可 重用 性 ， 验 证 语言 通常 采用 类 似 面 向 对 象 语言 的 方式 来 描述 测试 用 例 。 
因此 在 向 被 验证 设计 (design under verification, DUV), 尤其 是 寄存 器 传输 级 (register-transfer 
level，RTL) 或 门 级 的 被 验证 设计 施加 测试 用 例 时 ， 需 要 将 较 抽 和 象 的 测试 用 例 映射 成 二 进 制 
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向 量 *， 必 要 时 还 需要 通过 总 线 功能 模型 (bus functional model，BFM) 外 按照 被 验证 设计 所 
需要 的 时 序 关 系 来 施加 二 进 制 向 量 ， 这 就 是 图 1 中 输入 控制 部 分 需要 实现 的 功能 。 输出 收集 
部 分 的 功能 则 是 输入 控制 部 分 的 功能 的 逆 过 程 。 对 于 模拟 过 程 中 收集 到 的 数据 , 一 方面 需要 
进行 结果 检查 , 包括 时 序 检查 和 数据 检查 ,形成 结果 检查 报告 以 反映 模拟 验证 过 程 中 是 否 发 
现 了 设计 错误 ; 男 一 方面 需要 进行 覆盖 率 分 析 , 形成 履 盖 率 报 告 以 评估 模拟 验证 的 充分 程度 。 
对 于 设计 验证 环境 中 各 部 分 的 详细 介绍 ， 可 参见 文献 [3]。 
1.2 纳米 时 期 模拟 验证 所 面临 的 挑战 

正如 前 面 所 解释 的 那样 , 设计 验证 的 问题 规模 随 着 摩尔 定律 成 双 指 数 级 增长 ,而 当 集 成 
电路 的 工艺 尺寸 发 展 到 纳米 级 ， 芯 片 设计 的 规模 发 展 到 数 10 亿 晶 体 管 级 ， 设 计 验 证 的 问题 
规模 将 是 现 有 技术 难以 应 对 的 。 

根据 1.1 节 的 介绍 ， 模 拟 验证 中 的 主要 环节 包括 : (1) 激 励 生 成 、(2) 模 拟 、(3) 结 果 检 查 、 
(4) 履 盖 率 评估 。 其 中 结果 检查 环节 通常 采用 断言 的 方式 或 者 与 参考 模型 比较 的 方式 来 实施 ， 
这 方面 的 技术 相对 成 熟 。 在 其 它 的 三 个 环节 中 , 提高 模拟 速度 有 助 于 在 更 短 时 间 内 验证 更 大 


一 功能 空间 。 例如 采用 硬件 加 速 的 方法 可 以 将 模拟 的 速度 提高 儿 个 数量 级 , 但 是 这 仍然 跟 不 上 
> 设计 的 功能 复杂 度 的 增长 。 因此 , 模拟 验证 研究 的 重点 在 于 激励 生成 和 覆盖 率 评估 这 两 个 环 
市 。 


功能 覆盖 率 (functional coverage) 评 估 是 业界 最 常用 也 是 最 重要 的 度量 验证 进度 的 方法 。 
然而 ,定义 高 质量 的 功能 覆盖 点 需要 工程 师 具 有 大 量 的 专家 知识 和 相关 经 验 ,， 这 也 是 功能 和 
盖 率 评估 主要 的 不 足 之 处 。 也 就 是 说 ， 功 能 履 盖 率 的 度量 效果 依赖 于 所 定义 的 功能 覆盖 点 的 
完备 性 , 而 这 种 完备 性 目前 尚 没 有 方法 能 够 检查 。 在 模拟 验证 的 过 程 中 运用 履 盖 率 评估 方法 ， 
可 以 分 析出 覆盖 率 漏洞 , 这 些 信息 对 于 激励 生成 具有 重要 的 指导 意义 。 如 果 功 能 覆盖 点 的 定 
义 不 完 善 , 那么 在 缺乏 有 效 覆 盖 率 信息 指导 的 情况 下 想 要 通过 激励 生成 的 效果 来 弥补 是 非常 
困难 的 。 

模拟 验证 中 的 激励 生成 通常 在 寄存 器 传输 级 及 其 以 上 的 层面 上 完成 。 这 种 情况 下 激励 生 
5 成 本 身 是 很 困难 的 ， 主 要 有 三 个 方面 的 原因 : (1) 待 验证 的 属性 常常 涉及 到 多 个 时 钟 周期 ， 
i 问题 空间 庞大 ; (2) 相 应 地 ， 设 计 验 证 中 的 激励 生成 常常 是 面向 时 序 电 路 的 ， 而 不 像 电 路 测 


LC 试 中 那样 〈 通 过 扫描 链 等 可 测试 性 设计 技术 的 转化 ) 主要 处 理 组 合 罗 辑 ;， (3) 寄存 器 传输 级 
9 及 其 以 上 的 设计 中 常常 包含 位 向 量 bit-vector) 或 者 说 字 变 量 word-level variable)， 其 取 
值 范围 相 比 门 级 设计 中 的 布尔 量 要 大 得 多 , 相应 的 运算 也 更 加 复杂 。 这 三 方面 的 因素 导致 设 


计 验 证 领域 的 激励 生成 通常 不 采用 确定 性 的 算法 ， 而 是 大 多 采用 一 些 随机 算法 外 ,或 者 基于 
模拟 的 方法 。 如 果 功 能 覆盖 点 的 定义 不 完善 ， 那 么 通过 基于 随机 或 者 模拟 的 激励 生成 方 
法 很 难 在 短 时 间 内 发 现 相 关 届 辑 中 的 设计 错误 。 例 如 ， 英 特 尔 宣称 奔腾 〈Pentium ) 芯片 的 
浮 点 除法 错误 对 一 个 普通 制 表 软 件 用 户 而 言 ， 每 27,000 年 才 遇 到 一 次 中 。 


综合 上 述 , 模拟 验证 的 激励 生成 非常 困难 ， 因 此 需要 覆盖 率 信 息 的 引导 ， 而 功能 窗 盖 率 
一 方面 需要 太 多 的 人 工 参 与 ， 男 一 方面 其 目标 空间 过 于 庞大 , 与 设计 规模 成 指数 关系 ， 因 此 
现 有 的 围绕 功能 履 盖 率 的 模拟 验证 技术 已 经 很 难 满足 芯片 设计 未 来 发 展 的 需要 。 
1.3 开展 错误 模型 相关 研究 的 意义 

发 现 设计 错误 是 横 拟 验证 最 直接 的 目标 。 在 集成 电路 测试 领域 ， 由 于 固定 型 故障 


“在 后 文中 ， 当 不 强调 功能 场景 时 ， 通 常 不 讲 “ 测 试用 例 ” 而 直接 讲 “向量 和 “输入 向 量 ” 或 者 “激励 ” 
这 些 均 指 施 加 在 被 验证 设计 上 的 一 个 时 钟 周期 的 输入 数据 。 
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(stuck-at fault) 模型 的 成 功 提出 ， 使 得 测试 生成 、 可 测试 性 分 析 、 故 障 履 盖 率 评估 等 工作 
的 自动 化 程度 非常 高 ,测试 的 完备 性 也 有 据 可 依 。 类 似 地 ， 如 果 能 够 提出 高 质量 的 设计 错误 
模型 ， 有 望 极 大 地 促进 模拟 验证 的 相关 技术 研究 。 类 似 的 观点 在 ITRS2007 也 有 所 反映 口 。 


首先 ， 设 计 错 误 模 型 研究 有 望 降低 设计 验证 技术 的 问题 规模 。 如 前 所 述 ， 从 功能 的 角度 
进行 设计 验证 , 其 问题 规模 随 设计 规模 呈 指 数 增长 。 而 如 果 从 设计 错误 的 角度 进行 设计 验证 ， 
由 于 很 多 错误 模型 都 是 从 分 析 某 一 类 设计 错误 所 带 来 的 代码 改变 来 建 模 的 , 因此 问题 规模 基 
本 上 与 设计 规模 (代码 〉 成 同 数量 级 。 


其 次 ， 设 计 错 误 模 型 研究 与 现 有 围绕 功能 覆盖 率 的 模拟 验证 技术 可 以 形成 紧密 的 互补 。 
一 方面 , 基于 错误 模型 的 设计 验证 离 不 开 对 基本 功能 的 评估 , 毕竟 设计 验证 的 最 终 目 的 是 要 
保证 设计 满足 其 功能 规范 ; 另 一 方面 , 现 有 的 围绕 功能 覆盖 率 的 模拟 验证 技术 由 于 问题 规模 
过 于 庞大 而 难以 对 各 种 边界 情况 实现 完备 的 覆盖 , 而 基于 错误 模型 的 技术 则 可 以 从 代码 中 湾 
在 错误 的 角度 来 弥补 这 一 点 ， 形 成 二 者 紧密 互补 、 互 相 促进 的 局 面 。 虽 然 现 有 的 语句 履 善 
率 趾 、 分 支 覆 盖 率 中 等 评估 方法 也 是 从 代码 角度 来 评估 验证 完备 性 的 ， 但 是 这 些 覆 盖 率 评估 
方法 通常 是 采用 某 种 局 发 式 思想 , 与 设计 验证 的 效果 之 间 缺 乏 直接 的 联系 , 因此 对 其 评估 效 
果 一 直 以 来 缺乏 充分 的 证 明 ， 通 常 只 能 将 100% 的 代码 覆盖 率 作 为 模拟 验证 需要 满足 的 基本 
要 求 。 基 于 错误 模型 的 设计 验证 技术 在 这 方面 则 占有 先天 优势 。 换 句 话说， 发 现 设计 错误 是 
模拟 验证 体现 其 效果 的 最 直接 的 方式 ， 当 对 茶 种 错误 模型 达到 了 100% 的 歼 盖 之 后 ， 我 们 通 
常 可 以 说 设计 之 中 没有 该 类 设计 错误 了 。 


简 而 言 之 , 基于 错误 模型 的 设计 验证 技术 是 主流 模拟 验证 技术 应 对 设计 规模 发 展 带 来 的 
挑战 的 有 效 方法 ， 受 到 业界 广泛 关注 。 


2 ”设计 错误 模型 


在 芯片 设计 流程 中 ， 多 种 多 样 的 原因 都 可 能 导致 功能 错误 。 例 如 ， 由 于 版 本 管理 不 善 导 
致 的 错误 、 由 于 更 改 功能 规范 而 导致 的 实现 与 规范 之 间 的 不 匹配 、 由 于 接口 不 兼容 而 导致 的 
连通 性 问题 ， 等 等 。 本 文 并 不 打算 探讨 所 有 可 能 的 设计 错误 ， 而 仅 限 于 由 设计 人 员 所 带 来 的 
功能 错误 。 
2.1 错误 模型 相关 研究 
表 1. 错误 类 型 相关 研究 分 类 

类 型 特点 代表 性 工作 
软件 层 |[9] 
显 式 错误 模型 | 通过 所 引起 的 设计 代码 的 改变 来 描述 设计 错误 |RIL |[13]、[14]、[16]、[24] 
门 级 1[15] 
抽象 错误 模型 | 在 电路 设计 的 抽象 模型 上 提炼 错误 模型 [17]、[18] 
隐 式 错误 模型 | 从 错误 所 引发 的 效果 来 分 析 设计 错误 的 特性 “| [19]、[20]、[21] 


如 表 1 所 示 ， 从 建 模 角度 来 看 ， 错 误 模 型 方面 的 研究 可 以 划分 为 三 类 。 


第 一 类 是 显 式 错误 模型 ， 即 通过 所 引起 的 设计 代码 的 改变 来 描述 设计 错误 。 差 异 测 试 
(mutation testing) 是 这 一 类 错误 模型 研究 中 的 典型 方法 。 差 异 测试 最 早 是 由 软件 测试 领域 
的 学 者 在 文献 [9] 中 提出 的 。 其 主要 思想 是 对 原始 设计 进行 微小 变动 以 产生 各 种 变异 体 
(mutant)， 然 后 生成 能 够 区 分 原始 设计 与 其 变异 体 的 测试 癌 量 。 若 原始 设计 在 测试 向 量 下 
行为 正确 ， 则 其 中 不 包含 与 相应 变异 体 所 对 应 的 设计 错误 。 


ID 


荆 
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差异 测试 中 的 错误 模型 是 从 常见 的 设计 错误 中 提炼 出 来 的 , 例如 将 逻辑 “与 ”运算 (&) 
误 写 为 逻辑 “或 ”运算 (|)， 或 者 将 关系 运算 中 的 大 于 等 于 (>=) 误 写 为 大 于 (>)。 每 个 
变 录 体 含有 唯一 的 模型 化 错误 ,这 一 方面 是 为 了 便于 计算 错误 履 盖 率 ， 另 一 方面 是 基于 两 个 
假设 一 一 合格 程序 员 假设 和 错误 的 耦合 效应 假设 “合格 程 序 员 假设 ” 指 的 是 ， 一 个 合格 的 
程序 员 编 号 出 来 的 程序 总 是 接近 于 正确 的 设计 ， 如 果 出 错 也 只 是 一 些 相 对 简单 的 错误 。“ 错 
误 的 耦合 效应 假设 ”是 指 ,针对 简单 错误 而 生成 的 激励 集合 也 能 够 发 现 那些 由 简单 错误 组 成 
的 复杂 错误 。 这 一 假设 于 1978 年 在 文献 [9] 中 被 提出 ， 软 件 测试 领域 的 学 者 从 实验 的 角度 5 
和 理论 分 析 的 角度 号 分 别 对 这 一 假设 进行 了 研究 。 


文献 [12] 中 报告 了 针对 Fortran 程序 的 自动 化 的 差异 测试 系统 Mothra。 由 于 软件 程序 过 
于 复杂 ， 而 且 变 异体 数量 非常 庞大 (例如 ，Mothra 曾 对 一 个 27 行 的 程序 产生 了 970 个 变异 
体 "中 )， 这 导致 差异 测试 的 开销 过 大 ， 因 此 未 在 软件 测试 中 得 到 广泛 应 用 。 尽 管 如 此 ， 差 异 
测试 为 设计 错误 模型 方面 的 研究 葛 定 了 基础 , 其 思想 也 已 经 被 借鉴 到 硬件 的 设计 验证 技术 之 


中 3] 。 


巴克 莱 (D. Barclay) 等 人 针对 VHD 代码 中 的 ijf-then-else、case-when， 和 信 
~ 号 赋值 结构 提出 了 控制 错误 (control fault) 模型 。 这 些 条 件 结构 中 的 谓词 在 验证 过 程 中 被 要 
\ 求 固定 为 1 和 国定 为 0， 而 赋值 操作 被 要 求 开路 (open〉 以 检测 死 子 句 (dead-clause) ml。 
文献 [15] 针 对 门 级 组 合 电路 定义 了 四 类 简单 的 错误 模型 ， 即 门类 型 错误 、 门 数目 错误 、 输 入 
数目 错误 和 输入 信号 错误 ， 并 将 错误 模型 映射 到 SSL 故障 (single-stuck line fault， 线 的 单 固 
定型 故障 ) 以 借助 测试 自动 生成 (Automatic Test Pattern Generation，ATPG) 工具 产生 激励 。 
文献 [16] 则 提出 了 较 高 层面 上 的 设计 错误 模型 ， 包 括 总 线 顺 序 错误 、 总 线 源 错 误 ， 等 等 ，3 
针对 电路 的 寄存 器 传输 级 设计 手动 产生 测试 集 。 


第 二 类 是 抽象 错误 模型 。 其 主要 思想 是 抽象 出 电路 设计 的 某 种 模型 , 在 其 上 分 析 提 和 炼 出 
功能 错误 模型 。 例 如 ， 闵 应 骅 等 人 提出 了 一 种 寄存 器 传输 级 模型 ， 在 此 基础 上 提出 了 多 种 错 
误 模 型 ， 包 括 译 码 故 障 、 数 据 存储 和 传输 故障 等 等 趾 。 沈 理 等 人 针对 微 处 理 器 设计 也 提出 
了 相应 的 功能 错误 模型 9。 


ES 


到 第 三 类 是 隐 式 的 错误 模型 ， 从 错误 所 引发 效果 的 角度 来 分 析 设 计 错 误 的 特性 。 例 如 ， 文 
r= 献 [19] 通 过 将 电路 设计 方案 表达 成 多 项 式 的 形式 ， 借 助 多 项 式 的 零点 理论 进行 分 析 设 计 错 
rr 误 。 文 献 [20] 提 出 基于 屏蔽 值 集合 (masked value set， MVS) 的 概率 计算 方法 ， 来 评估 基 


于 可 观测 性 的 语句 覆盖 率 ,我 们 所 提出 的 静态 可 观测 性 分 析 方 法 也 是 从 所 引起 的 变量 取 值 变 
化 角度 来 评估 设计 错误 的 影响 2。 


以 上 设计 错误 模型 方面 的 研究 主要 集中 在 二 十 世纪 的 八 十 、 九 十 年 代 , 近 十 余年 很 少 有 
重大 进展 。 近 期 研究 主要 是 针对 一 些 特定 的 设计 错误 建立 模型 ,， 例如， 北京 大 学 的 学 者 针对 
多 时 钟 域 的 SoC“ 设 计 中 的 亚 稳 态 效应 (effect of metastability) 提出 跨 时 钟 域 错误 模型 221201。 
随 着 设计 规模 不 断 膨胀 ， 电 路 设计 的 发 展 对 验证 技术 提出 了 紧迫 的 需求 。 在 这 样 的 背景 下 ， 
基于 错误 模型 的 设计 验证 有 望 与 现 有 主流 的 模拟 验证 技术 形成 紧密 互补 , 因此 有 具有 令 人 期 待 
的 发 展 前 景 。 


2.2 缺 项 错误 模型 


我 们 在 实际 芯片 的 设计 验证 过 程 中 发 现 有 表达 式 中 子 句 缺失 的 设计 错误 ,这 类 设计 错误 
在 其 它 的 芯片 设计 中 也 同样 存在 。 加 州 大 学 洛杉矶 分 校 的 学 者 分 析 了 英特尔 奔腾 I(Pentium 


”硬件 描述 语言 
4 System on Chip， 片 上 系统 
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ID 微 处 理 器 的 功能 缺陷 列表 (errata)， 发 现 英特尔 在 1997 年 5 月 至 1999 年 4 月 所 报告 的 奔 
腾 开 微 处 理 器 的 73 个 功能 缺陷 之 中 ， 大 部 分 是 控制 错误 。 这 些 控制 错误 又 可 以 大 致 分 为 两 
类 : 控制 功能 的 缺失 或 控制 功能 出 错 司 。 我 们 发 现 表达 式 子 句 缺失 的 设计 错误 ， 与 文献 [23] 
中 的 基本 认识 不 谋 而 合 , 并 且 对 其 进行 了 新 的 拓展 一 一 除了 控制 逻辑 之 外 , 在 赋值 语句 的 右 
值 中 也 可 能 有 表达 式 子 句 缺失 的 设计 错误 。 但 是 已 有 错误 模型 和 测试 方法 尚 不 能 处 理 这 种 情 
况 。 我 们 在 文献 [24] 中 结合 实际 工程 项 目 中 的 设计 错误 分 析 提 出 了 一 种 新 的 设计 错误 模型 一 
缺 项 错误 (item-missing error，IME ) 模型 ， 可 以 处 理 此 类 表达 式 中 的 子 名 缺失 错误 。 本 文 
中 我 们 仅 以 描述 性 的 语言 来 举例 说 明 缺 项 错误 模型 及 其 测试 方法 , 更 详尽 更 形式 化 的 阐述 可 
参考 文献 [24]。 


我 们 所 提出 的 缺 项 错误 模型 可 以 给 硬件 设计 中 由 于 子 句 缺 失 所 导致 的 错误 建 模 , 包括 在 
连续 性 赋值 、 非 阻塞 性 赋值 、 阻 塞 性 赋值 等 语句 右 端 表达 式 缺失 子 句 ， 以 及 在 半 语 句 、case 
语句 、 条 件 操作 符 ( 即 问号 操作 符 》 等 结构 中 的 条 件 表达 式 缺 失 子 句 。 


下 面 结合 实际 项 目 中 的 设计 错误 来 说 明 缺 项 错误 模型 的 实际 意义 。 


图 2(a) 所 示 是 含有 设计 错误 的 代码 , 图 2(b) 是 其 修复 后 的 代码 。 这 段 代码 是 AMBA AHB 
一 主 设备 master) 接口 的 复位 (reset) 逻辑 中 的 一 个 片段 。 除 了 主 设备 接口 逻辑 自身 的 初 
~ 始 化 Cinitialization) 操作 之 外 ， 还 有 一 种 情况 下 也 需要 对 主 设备 接口 逻辑 进行 复位 ， 
即 当 从 设备 〈slave) 返回 一 个 ERROR (出 错 ) 类 型 的 响应 之 时 ， 主 设备 接口 逻辑 也 需要 进 
行 复位 。 此 错误 可 以 通过 IME 模型 来 建 模 。 


C0) if(!hresetn) if ((!hresetn)|lbus_ error) 
CD buffer2[294:293]<=2"'b0; buffer2[294:293]<=2'b0; 
(a). 含有 设计 错误 的 代码 (b). 错误 被 修复 之 后 的 代码 


OO 图 2.， 可 用 缺 项 错误 建 模 的 简单 的 设计 错误 


根据 AMBA AHB 协议 规范 PC5, 一 个 ERROR 类 型 的 响应 需要 至 少 两 个 时 钟 周 期 来 表示 : 

在 倒数 第 二 个 时 钟 周期 , 从 设备 将 HRESP[1:0] 信 号 设置 为 2?b01 并 同时 将 HREADY 信和 号 拉 

(©S 低 ， 而 在 最 后 一 个 时 钟 周 期 ， 从 设备 保持 HRESP[1:0] 信 号 不 变 同 时 将 HREADY 信号 拉 高 。 

.= 可 见 要 识别 ERROR 类 型 的 响应 需要 相对 复杂 的 届 辑 ， 因 此 在 修复 缺 项 错误 时 可 能 需要 将 一 

些 信号 进行 运算 , 而 并 非 简单 添加 一 个 内 部 信号 或 者 输入 信和 号 (图 2(b) 中 添加 的 bus_error 

信号 是 识别 ERROR 类 型 响应 对 应 的 两 时 钟 周 期 模式 而 产生 的 )。 这 样 的 设计 错误 是 无 法 通过 

变异 测试 技术 发 现 的 。 换 名 话说 ， 变 异 测试 是 在 已 有 代码 基础 上 进行 变异 的 ， 它 并 不 能 处 理 
那些 由 于 缺失 而 没有 在 代码 中 出 现 的 子 句 。 因 此 缺 项 错误 需要 通过 新 的 测试 方法 来 检测 。 


我 们 提出 一 种 基于 约束 的 随机 激励 生成 方法 来 检测 缺 项 错误 。 
以 图 3 中 代码 为 例 。 图 3(a) 


es ee 1. if (ag&b) 1. if (ag&bg&c) 
第 1 行 if 语句 中 的 表达 式 2. p=input1i|input2; 2. p=input1i|input2; 
“a&b” 有 一 个 缺 项 错误 ， 其 3. else 3. else 


4. p=inputi&input2; 4. p=inputi&input2; 


正确 形式 是 如 图 3(b) 所 示 的 
“a&b&c”。 当 a=1, b=1, c=0 
之 时 ， 图 3(a) 中 的 错误 代码 将 
执行 第 2 行 的 证 分 文 ， 而 图 图 3， 缺 项 错误 示例 

3(b) 中 的 正确 代码 将 执行 第 4 行 的 else 分 文 。 若 此 时 “input1|input2” 的 值 不 等 于 
“input1|input2” 那么 这 个 缺 项 错误 就 能 够 被 发 现 。 这 个 例子 带 来 的 启示 是 ， 如 果 在 
激励 生成 过 程 中 约束 已 有 的 项 取 其 非 控 制 值 《关于 非 控 制 值 的 定义 可 参见 文献 [24])， 就 有 


(a) 含有 缺 项 错误 的 代码 (b) 正确 代码 
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可 能 将 所 缺失 的 项 的 效果 暴露 出 来 。 
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在 实际 的 设计 验证 过 程 中 , 无 法 提前 得 知 所 缺失 的 项 是 什么 。 例 如 在 图 3(a) 所 示例 子 中 ， 


其 正确 代码 可 能 是 “a&b&c” 也 可 能 是 “a&b&d” 或 者 “a&b&( !e )”。 因此， 我 们 所 提出 


的 缺 项 错误 模型 测试 方法 ,其 目标 并 不 在 于 如 何 找到 正确 代码 , 而 是 在 于 提高 发 现 此 类 设计 
错误 的 概率 。 为 了 使 所 缺失 的 项 的 作用 尽 可 能 暴露 出 来 ， 就 需要 将 已 有 的 项 的 效果 尽 可 能 隐 


蔽 。 


显然 ， 对 于 某 个 表达 式 中 的 单 缺 项 错 
误 ， 在 其 它 条 件 相同 的 情况 下 ， 相 对 于 不 满 
足 非 控制 值 约束 的 激励 而 言 ， 那 些 使 得 已 有 
项 满足 非 控 制 值 约束 的 激励 发 现 该 缺 项 错 
误 的 概率 更 大 。 如 果 茶 个 已 有 的 子 表达 式 取 
控制 值 ， 那 么 无 论 所 缺失 项 的 效果 有 没有 被 
激发 ， 整 个 表达 式 的 取 值 都 取决 于 这 个 子 表 
达 式 的 控制 值 。 这 样 的 激励 是 不 可 能 检测 出 
该 缺 项 错误 的 。 


基于 业界 常用 的 基于 约束 的 随机 验证 
技术 ， 我 们 提出 针对 缺 项 错误 模型 的 测试 方 
法 ， 其 流程 如 图 4 所 示 。 其 中 的 核心 步骤 包 
括 : 第 一 步 ， 选 择 一 个 潜在 的 缺 项 错误 ， 第 
二 步 ， 得 到 相对 于 该 缺 项 错误 的 其 它 子 表达 
式 非 控制 值 约束 ， 将 此 约束 追加 到 验证 环境 
的 功能 约束 之 上 ， 产 生 满 足 这 些 约束 的 随机 
向 量 ， 对 该 缺 项 错误 进行 若干 次 测试 ， 第 三 
步 ， 如 果 还 有 其 它 的 潜在 缺 项 错误 则 转 回 第 
一 步 ， 否 则 结束 测试 。 


加 IME 结构 约束 情况 下 
平均 被 发 现 概 率 ， 是 不 添 
加 IME 结构 约束 情况 下 
平均 被 发 现 概 率 的 数 倍 ， 


产生 非 控 制 值 约束 


非 控 制 值 约束 


约束 下 的 随机 验证 


验证 次 数 >N 


是 
否 
束 


结 


图 4， 缺 项 错误 的 训 试 方法 


如 图 5 所 示 ， 对 于 实际 的 嵌入 式 处 理 器 设计 的 实验 数据 表明 ， 对 于 缺 项 错误 而 言 ， 在 添 


最 高 达到 了 六 倍 以 上 。 这 
说 明 从 缺 项 错误 模型 提炼 


出 的 结构 信息 对 于 发 现 此 


类 设计 错误 是 非常 有 用 


的 ， 能 够 极 大 提高 功能 验 
证 的 效率 。 详 细 的 实验 数 a 


据 和 分 析 可 参考 文 
献 [24]。 


比 


图 5 缺 项 错误 模型 对 于 提高 该 类 错误 被 发 现 概率 的 作用 


3 ”设计 错误 注入 平台 ErrorInjector 
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由 于 目前 尚未 有 得 到 广泛 承认 的 设计 错误 模型 ， 相 应 地 也 没有 高 效 的 设计 错误 模拟 器 ， 


201703.00177V1 


chinaXiv 


芯片 设计 的 模拟 验证 技术 分 析 和 探讨 


因此 , 分 析 和 比较 各 种 设计 错误 模型 的 优 和 劣 、 评 佑 设计 错误 履 盖 率 的 基本 方法 就 是 进行 错误 
注入 《error injection) 和 逻辑 模拟 (logic simulation )。 据 我 们 了 解 ， 目 前 尚 没有 开源 的 针对 
硬件 设计 的 错误 注入 系统 , 因而 相关 的 研究 团队 需要 自行 开发 , 造成 时 间 等 资源 的 重复 消耗 。 
为 此 ， 我 们 设计 并 实现 了 一 个 设计 错误 注入 平台 


在 设计 错误 模型 相关 研究 中 , 一 个 良好 的 设计 错误 注入 系统 的 很 重要 的 特性 就 是 能 够 支 
持 丰 富 的 错误 模型 种 类 。 如 果 系 统 能 够 文 持 灵活 的 错误 注入 位 置 则 更 好 , 这 样 可 以 在 整个 设 
计 中 进行 随机 的 注入 或 者 在 关注 的 区 域 进行 集中 的 错误 注入 。ErrorInjector 正 是 具有 这 样 的 
特征 。 具 体 而 言 ，ErrorInjector 的 主要 特点 在 于 : 


1. ”借助 编译 器 提取 设计 信息 ， 可 支持 多 种 错误 类 型 。 该 系统 文 持 Verilog 语言 ， 利 
用 开源 编译 器 IcarusVerilogt* 引 进行 设计 信息 的 提取 。 

2. ”支持 错误 注入 位 置 的 随机 选取 方式 和 等 间距 选取 方式 。 该 系统 设置 了 预 处 理 步 

又 ， 通 过 预 处 理 统 计 出 设计 中 各 种 错误 模型 对 应 的 注入 位 置 的 数目 ， 提 供给 用 户 

以 便 描述 错误 注入 的 配置 信息 。 

3. ”基于 动态 链接 库 技术 实现 错误 模型 的 可 扩展 接口 ， 使 系统 具有 良好 的 可 扩展 性 。 
用 户 仅 需 构造 出 接口 函数 〈 即 与 具体 错误 模型 相关 的 识别 函数 和 注入 函数 ) 的 内 
容 并 将 其 编译 为 动态 链接 库 文 件 ， 就 可 以 将 新 的 错误 模型 融合 到 ErrorInjector 系 
统 当中 。 这 是 一 种 友好 的 扩展 方式 ， 使 得 用 户 无 需 了 解 ErrorInjector 系统 的 所 有 
实现 细节 就 可 以 扩展 所 需 的 错误 模型 ， 极 大 减少 了 用 户 的 工作 量 ， 提 高 了 系统 的 
易 用 性 和 可 扩展 性 。 


ErrorInjector 系统 的 错误 注入 流程 如 图 6 所 示 。 


ErrorInjector。 


[ 


待 注入 错 


误 的 信息 


IcarusVerilog 宇 
vk 误 注 入 系统 
werilog 编 写 / 。 进行 编译 、/ 设计 的 - 
的 RTL 设 计 中 间 信 息 预 处 理 


图 6。 错误 注 入 流程 
ErrorInjector 系统 需要 两 个 输入 : 第 一 个 输入 是 被 验证 设计 ， 即 采用 Verilog 语言 实现 的 
硬件 设计 ; 第 二 个 输入 是 验证 人 员 指 定 的 待 注入 错误 的 信息 ,包括 准备 注入 的 错误 模型 、 错 
误 个 数 和 错误 位 置 等 。 输 出 则 为 多 苹 导 回 X 


e lelp 
个 带 有 单 错误 的 设计 文件 ， 每 个 输 | mesonnps sonic 
"Ly ~ Error Style Nuaber^ Error Style Irror Wuaber Inject Mode Origin 
出 设计 都 是 符合 语法 的 。 目 前 的 系 add2suub 1 1 |const2zer。 |3 Random 2 


统 是 在 Linux 平台 下 用 C++ 语言 实 const2zero 10 


itennissing 18 


现 的 。 其 运行 界面 如 图 7 所 示 。 用 


> NT ,Ly Error Style: Const2Zero 
户 可 以 通过 图 形 界面 了 解 蕊 片 设 计 Error Wuaber: 3 

中 所 有 可 能 的 错误 信息 ， 并 对 具体 ee 
注入 的 错误 类 型 、 数 目 、 位 置 等 进 9 me | inl: 


行 相应 的 配置 o Edit | L_EzrrerInject_ | 
图 7. ErrorInjector 系统 的 运行 界 国 
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基于 该 平台 可 以 开展 以 下 两 方面 的 研究 : 


1. 分析 和 比较 各 种 设计 错误 模型 的 优 劳 。 对 于 在 实际 芯片 验证 中 已 经 发 现 某 些 设计 
错误 的 激励 集合 而 言 ， 通 过 进行 错误 注入 并 利用 该 激励 集合 进行 模拟 ， 能 够 分 析 
各 种 错误 模型 对 实际 的 设计 错误 的 建 模 能 力 ， 进而 提炼 出 具有 代表 性 的 错误 模型 
以 指导 设计 验证 技术 。 


2. ”评估 错误 履 盖 率 以 指导 激励 生成 。 通 过 对 芯片 设计 进行 单 错 误 注 入 ， 可 以 得 到 多 
个 带 有 设计 错误 而 语法 正确 的 设计 。 再 借助 逻辑 模拟 器 对 这 些 设计 分 别 进行 模拟 
验证 , 或 者 借助 形式 化 工具 进行 形式 验证 。 最后, 对 验证 的 结果 进行 分 析 和 统计 ， 
计算 出 被 发 现 的 设计 错误 数目 与 所 有 被 注入 的 设计 错误 数目 之 比 ， 即 为 错误 覆盖 
率 。 分 析 所 得 到 的 覆盖 率 漏洞 对 于 激励 生成 具有 重要 的 指导 意义 


4 ”基于 隐 式 错误 模型 的 可 验证 性 设计 技术 


_ 我 们 在 研究 错误 模型 的 过 程 中 深刻 认识 到 , 设计 错误 建 模 方面 的 研究 困难 很 多 , 一 个 主 
~ 要 的 原因 是 营 片 设计 厂商 很 少 公开 其 项 目 中 的 设计 错误 详情 ,虽然 英特尔 等 芯片 三 商会 提供 
六 其 产品 的 功能 缺陷 列表 (errata)， 但 这 通常 是 从 用 户 的 角度 来 描述 ， 难 以 供 设计 验证 研究 使 
用 。 密 鞭 根 大 学 的 学 者 系统 地 收集 了 学 生 在 几 个 微 处 理 器 设计 课程 项 目 中 的 设计 错误 数据 ， 
并 在 文献 [27] 中 进行 了 分 析 。 文 献 [28] 也 报告 了 在 对 学 生 设 计 进 行 形式 化 验证 的 过 程 中 所 发 
现 的 设计 错误 。 不 过 类 似 的 公开 数据 还 是 少 之 又 少 。 而 且 学 生 设计 中 所 犯 的 错误 并 不 能 完全 
代表 工业 界 设 计 中 的 错误 。 考 虑 到 设计 错误 的 显 式 建 模 研 究 所 面临 的 客观 困难 , 我 们 可 以 不 
必 拘 泥 于 特定 的 设计 错误 模型 ， 而 是 从 设计 错误 所 引发 的 效应 入 手 开 展 研究 。 对 于 可 验证 性 
设计 尤其 如 此 。 


对 于 可 验证 性 设计 而 言 , 通常 不 与 某 种 特定 的 显 式 错误 模型 绑 定 , 而 是 从 错误 所 引发 的 
效应 入 手 分 析 验 证 的 难 易 程度 。 我 们 从 设计 错误 传播 角度 研究 量化 分 析 方 法 , 提出 了 基于 错 
误 屏蔽 概率 (error-masking probability, EMP ) 的 静态 可 观测 性 (Static. OBServability, SOBS) 
分 析 方 法 。 基 于 该 方法 得 到 的 设计 中 内 部 信号 的 静态 可 观测 性 量化 分 析 值 , 我 们 提出 了 内 部 
观测 点 选择 算法 。 该 算法 能 够 在 模拟 之 前 定位 出 造成 局 部 设计 难 观测 的 源头 。 将 这 样 的 源头 
作为 内 部 观测 点 ， 可 以 提高 设计 验证 发 现 错误 的 能 


4.1 研究 静态 的 观测 点 选择 方法 的 动机 


图 8 是 静态 可 观测 性 分 析 方法 作用 的 示 。 ”验证 效果 

意图 。 图 中 横 轴 表示 模拟 的 时 间 ， 纵 轴 表 示 《覆盖 率 ) 采用 部 六 分 析 广 法 
验证 的 效果 。 常 用 的 方法 就 是 通过 覆盖 率 来 ”100% 
体现 验证 的 效果 。 图 中 有 两 条 覆盖 率 曲 线 。 

靠 上 方 的 一 条 相对 平滑 的 曲线 表示 采用 静态 

分 析 方法 添加 内 部 观测 点 时 的 覆盖 率 增长 情 

况 。 靠 下 方 的 阶段 式 增长 的 曲线 表示 采用 传 

统 方法 添加 内 部 观测 点 时 的 覆盖 率 增长 情 。 ”0% 
况 。 


ee 


{ 采用 传统 方法 
; 添加 内 部 观测 点 


0 模拟 时 间 
图 8。 静态 可 观测 性 分 析 意 义 的 示意 图 


传统 方法 通常 是 先进 行 一 段 模拟 ， 在 模 
拟 过 程 中 没有 和 鹤 盖 到 的 部 分 被 认为 是 难 观测 的 。 由 验证 人 员 为 其 增加 内 部 观测 点 , 再 进行 模 
拟 。 如 此 反复 。 如 图 8 中 的 示意 , 横 轴 上 的 两 个 实心 圆 点 表示 采用 传统 方法 添加 内 部 观测 点 


44 


的 时 机 。 由 于 是 在 模拟 过 程 中 添加 的 ， 新 增 的 内 部 观测 点 就 上 只 能 在 其 后 的 模拟 
没有 禾 盖 到 的 为 数 不 少 的 


因此 缺乏 稳定 性 ， 导 致 履 盖 率 增 长 相对 缓慢 。 


此 履 盖 率 曲 线 呈 阶 段 性 增长 。 
些 作为 内 部 观测 点 要 完全 依赖 于 人 力 来 决定 ， 

我 们 针对 这 个 问题 提出 的 静态 可 观测 性 分 析 方 法 不 需要 模拟 数据 来 加 
观测 的 源头 ， 提 示 验 证 人 
目 性 ， 新 增 的 内 部 观测 点 在 模拟 开始 的 


在 模拟 开 


全 之 前 就 报告 出 造成 部 分 区 域 鸡 
点 。 这样 可 以 避免 传统 方法 依赖 人 力 而 可 能 造成 的 育 
时 候 就 可 以 起 作用 ， 使 覆盖 率 


芯片 设计 的 


模拟 验证 技术 分 析 和 探讨 


而 且 ， 对 于 模拟 过 程 ! 


线 平滑 快速 增长 。 


4.2 根据 低 观测 根源 选择 内 部 观测 点 的 方法 


本 文 讨论 的 设计 验证 中 的 可 观测 


SOBS(a) = SOBS(p) + EMP(a,op) 


性 是 指 观 测 到 设计 中 某 个 信号 上 的 错 


误 效 果 的 义 


E 易 程度 。 静 态 可 观测 性 


(SOBS) 是 


用 来 评价 硬件 设计 中 某 个 


内 部 信号 可 观测 性 的 具体 量化 指标 。 


对 于 某 个 内 部 信号 而 言 ， 其 SOBS 值 
表示 该 信号 上 的 设计 错误 被 屏蔽 的 可 


能 性 大 小 。 


我 们 从 操作 数 取 值 的 角 


SOBS(a 


度 来 估计 


SOBS(a) = SOBS(p) + EMO(a,op) 
SOBS(b) = SOBS(p) + EMP(b, op) 


中 起 作用 ， 因 


上 助 分 析 ， 


区 域 ， 选择 哪 


因此 中 以 


员 将 其 增加 为 内 部 观测 


= Min Ce SOBS(as), *… SOBS(an)) 


图 9， SOBS 计算 方法 


设计 错误 传播 的 难 易 程 度 。 无 论 是 何 种 形式 的 设计 错误 ， 其 效果 通常 反映 为 对 设计 中 的 信和 号 


值 的 影响 。 


于 不 同 的 测试 用 例会 执行 设计 中 的 不 同 路 径 、 遇 到 不 同 的 操作 ， 而 信号 值 在 不 


同 寄存 器 传输 级 操作 上 传播 的 难度 不 同 , 这 导致 了 不 同 测试 用 例 下 设计 错误 的 传播 效果 也 不 


同 。 


寄存 器 传输 级 典型 字 操 作 的 错误 屏蔽 概率 计算 方法 可 参见 文献 [29]， 这 上 


。 在 错误 屏蔽 概率 公式 基础 上 , 我 们 可 以 分 析 硬 件 


逊 育 炬 


着 控制 /数据 流 图 ! 
值 中 的 最 小 值 。 对 于 分 支 语句 ， 其 条 作 


首先 ， 构 造 硬 件 描述 语言 设计 的 控 人 
， 从 观测 点 出 发 沿 着 控制 /数据 流 图 中 的 路 径 逆向 分 析 ， 
部 信号 的 SOBS 值 。 验 证 过 程 中 的 观测 点 〈 例 如 ， 原 始 输 昌 
的 多 条 路 径 均 可 以 观测 内 部 信号 a， 则 a 的 SOBS 值 取 各 条 路 径 上 SOBS 
F 表 达 式 的 SOBS 值 取 其 分 支 


SOBS 值 中 最 小 值 。 


具有 单调 递增 的 特性 。 


内 部 观测 


EE 不 做 详细 推 
述 语言 设计 中 内 部 信号 的 静态 可 观测 


基于 这 两 个 特 怕 
点 ， 即 利 月 


此 可 知 ，1).SOBS 值 越 大 ， 表示 信 号 越 难以 被 观测 ， 2). 从 观测 点 
径 上 的 SOBS 值 ， 其 值 
法 。 此 方法 采用 打分 的 方式 来 筛选 


同时 根据 图 


IOS_score， 最 终 I0S_score 分 值 最 高 的 内 部 信号 就 是 理想 的 内 部 观测 点 。 


此 方法 的 主要 步骤 有 如 下 3 步 。 


判 /数据 流 图 〈Control Data Flow Graph，CDEFG)。 然 
9 所 示 的 公式 计算 内 
bs 变量) 的 SOBS 值 设 为 0。 当 沿 


被 赋值 的 各 个 信号 的 


始 逆向 查看 一 条 路 
E， 我 们 提出 了 低 观 测 源 分 析 方 
] SOBS 值 计算 每 个 内 部 信号 的 


1. ”人 裔 历 电路 设计 所 对 应 的 控制 -数据 流 图 , 求 出 每 个 内 部 信号 的 SOBS 值 。 如 果 某 个 


言 号 


的 a 的 SOBS 值 最 小 ) 分 析 。 因 


入 SOBS 值 大 于 所 设 定 的 阔 值 TSOBS， 则 该 信号 被 视 为 一 个 难 观 测 信号 。 


2. ”对 每 一 个 难 观测 信号 a, 沿 着 其 最 容易 传播 的 一 条 路 径 1( 即 在 该 路 径 


上 计算 得 到 


此 ， 如 果 路 径 1 上 的 两 个 相继 信号 的 SOBS 值 之 


差 足 够 大 ， 则 表明 这 两 个 信号 之 间 的 操作 op 是 错误 效果 在 路 径 1 上 传播 的 一 处 
重要 障碍 ， 故 将 这 两 个 相继 信号 中 对 应 op 操作 数 的 那个 信号 的 I0OS_score 递 
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增 。 


3. ”I0S_socre 分 值 最 高 的 那些 内 部 信号 就 是 内 部 观测 点 的 理想 候选 。 


对 于 一 条 路 径 1, 可 以 用 路 径 上 相继 出 现 的 信号 序列 的 形式 表示 为 susa，'sntbsn, 其 中 sn 

是 观测 点 。 对 路 径 1 上 的 两 个 相继 信号 s 和 si (0<i<n)， 通 常情 况 下 
SOBS(si) = SOBS(sii1) + EMP!(si, op) 

如 果 s 和 sin 的 SOBS 值 之 差 大 于 所 设 定 的 阔 值 TSOBS_diff， 则 表明 由 于 op 的 存在 使 得 
信号 si 的 可 观测 性 相对 其 后 继 信号 ss 差 了 很 多 。 根 据 前 面 介绍 的 SOBS 计算 公式 可 知 ， 一 
条 路 径 上 某 个 信号 的 SOBS 值 是 其 后 继 信 号 的 SOBS 值 累积 的 结果 。 因 此 ， 信 号 sbsz，…sil 
的 可 观测 性 都 受到 Si 的 影响 o 如 果 路 径 ] 上 在 Si > 前 ( 即 在 信 号 S1, S2,° °°Si-1 之 中 ) 有 难 观测 
信号 ， 则 s 是 其 难 观测 的 一 个 原因 。 最 终 ， 如 果 某 个 信号 a 的 I0S_score 分 值 越 高 ， 表 明 
电路 中 受信 号 a 影响 的 难 观测 信号 越 多 , 因而 将 信号 a 作为 内 部 观测 点 可 以 解决 更 多 信和 号 的 
观测 难题 ， 起 到 事半功倍 的 效果 。 关 于 更 详尽 的 算法 曾 述 和 示例 可 参考 文献 [21][29]。 


我 们 在 ITC-99 benchmark 电路 上 进行 了 实验 与 分 析 。 对 每 一 个 设计 ， 我 们 在 同一 个 激 
励 集合 下 比较 其 在 3 个 方案 下 的 错误 覆盖 率 。 这 3 个 方案 是 指 : (1) 仅 以 输出 变量 作为 观测 
点 ; (2) 除 了 以 输出 变量 作为 观测 点 以 外 ， 从 内 部 的 难 观测 信号 之 中 随机 选择 一 些 作 为 内 部 
观测 点 ; (3) 除 了 以 输出 变量 作为 观测 点 以 外 ， 从 低 观 测 源 分 析 方 法 所 报告 出 信号 中 选择 
IOS_score 分 值 最 高 的 部 分 信号 作为 内 部 观测 点 。 值 得 说 明 的 是 ， 为 了 尽 可 能 实现 方案 2 
和 方案 3 之 间 的 公平 比较 ， 实 验 中 选择 内 部 观测 点 时 尽量 保证 其 总 位 数 相当 。 
图 10 形象 地 说 明了 通 90% 
过 低 观测 源 分 析 方 法 选择 
内 部 观测 点 的 优势 。 图 中 的 
纵 轴 表示 模型 化 的 错误 履 
盖 率 ， 横 轴 表 示 电 路 设计 。 姓 85% 
于 方案 2 中 的 内 部 观测 点 中 
是 在 难 观测 信号 集合 中 随 幅 
机 选择 的 ， 为 了 避免 选择 的 
偶然 性 ， 方 案 2 被 重复 进行 
了 三 次 ， 每 次 随机 选择 不 同 
的 难 观测 信号 (由 于 b14 中 
的 难 观测 信号 数目 有 限 ， 所 75% 


80% 


b20 b21 b22 


以 方案 2 只 能 被 重复 2 次 )。 b14 ee 

图 10 中 的 方案 2-1、2-2、2.3 电路 设计 让 
就 是 指 对 方案 2 的 三 次 重复 加 方案 1 吕方 案 3 。 同方 案 2.1 图 方 案 22 四 方案 23 
实验 。 图 10， 不 同 观测 点 下 的 错误 履 盖 率 比 较 


图 10 可 知 ， 尽 管 在 方案 2 中 随机 选择 不 同 的 难 观 测 信 号 作为 内 部 观测 点 能 够 在 不 同 
程度 上 提高 错误 履 盖 率 ,但 是 其 提高 的 程度 均 未 达到 方案 3 的 效果 。 由 此 可 见 ， 采 用 低 观测 
源 作为 内 部 观测 点 ， 能 够 付出 更 小 的 代价 解决 更 多 内 部 信号 的 观测 问题 。 


在 时 间 开 销 方 面 , 实验 中 的 每 个 电路 设计 上 只 需要 几 秒 钟 就 可 以 分 析 完 毕 。 而 一 些 动态 分 
析 方 法 ， 例 如 文献 [20] 中 的 方法 ， 则 需要 在 功能 模拟 之 后 通过 分 析 模 拟 结果 来 发 现 难 观测 信 
号 ， 然 后 再 进行 模拟 。 由 此 可 知 ， 利 用 低 观 测 源 分 析 方 法 可 以 在 功能 模拟 之 前 就 分 析 并 添加 
理想 的 内 部 观测 点 ， 因 而 可 以 节省 验证 开销 。 


上 
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5 总结 


设计 验证 是 蕊 片 设计 的 重要 支撑 技术 。 通 过 分 析 业 界 主 流 的 模拟 验证 技术 在 伴随 设计 规 
模 发 展 中 所 面临 的 困境 及 其 原因 , 我们 认为 基于 错误 模型 的 设计 验证 技术 是 有 和 望 取得 突破 性 
进展 的 技术 方向 。 
本 文 前 述 了 设计 错误 模型 的 研究 现状 。 其 中 , 显 式 错误 模型 是 一 类 备 受 关注 的 研究 领域 ， 
这 方面 的 研究 以 差异 测试 为 代表 。 对 于 表达 式 中 子 名 缺失 的 设计 错误 ， 已 有 的 错误 模型 无 法 
表示 , 我 们 则 提出 了 缺 项 错误 模型 及 其 测试 方法 , 能 够 极 大 提高 该 类 设计 错误 被 发 现 的 概率 。 
到 目前 为 止 , 在 设计 验证 领域 尚 没有 得 到 广泛 接受 的 错误 模型 , 在 这 样 的 背景 下 研究 设计 错 
误 模型 相关 技术 离 不 开 错 误 注 入 平台 。 本 文 介绍 了 我 们 所 开发 的 错误 注入 系统 ErrorInjector。 
该 系统 基于 编译 器 构建 ,能 够 支持 丰富 的 设计 错误 模型 , 而 且 具 有 基于 动态 链接 库 的 良好 的 
可 扩展 接口 , 用户 可 以 方便 地 开发 自 定义 的 错误 模型 。 该 系统 对 于 设计 错误 模型 研究 非常 有 
益 。 除了 显 式 错误 模型 之 外 ,从 设计 错误 所 引发 的 效果 角度 研究 可 验证 性 设计 技术 也 是 一 个 
很 好 的 思路 。 我 们 提出 基于 错误 屏蔽 概率 的 静态 可 观测 性 量化 分 析 方法 , 在 此 基础 上 提出 根 
据 低 观 测 根源 选择 内 部 观测 点 的 方法 ， 推 动 了 这 一 领域 的 研究 。 
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